Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

「Qlik Sense Enterprise」の脆弱性が標的に - ランサム攻撃でも

BIツール「Qlik Sense Enterprise」における既知の脆弱性が、攻撃の標的となっていることがわかった。ランサムウェアの感染活動に悪用されているとの指摘もある。

「Qlik Sense Enterprise for Windows」において8月より9月にかけて判明した3件の脆弱性「CVE-2023-41265」「CVE-2023-41266」「CVE-2023-48365」について悪用が確認されたもの。Qlikではアドバイザリを更新し、あらためて注意を呼びかけた。

「CVE-2023-41265」は、HTTPリクエストをトネリングすることで権限の昇格が可能となる脆弱性。バックエンドサーバ上でHTTPリクエストが実行可能となる。「CVE-2023-41266」はパストラバーサルの脆弱性で、HTTPリクエストを実行できる匿名セッションを生成できるという。

同社では8月にリリースした「同August 2023 Initial Release」「同May 2023 Patch 4」「同February 2023 Patch 8」「同November 2022 Patch 11」「同August 2022 Patch 13」にてこれら脆弱性を修正した。

一方「CVE-2023-48365」は、「CVE-2023-41265」の修正が不完全であることが判明し、追加のアップデートにて修正された 「HTTPトネリング」の脆弱性。

9月にリリースした「同August 2023 Patch 2」「同May 2023 Patch 6」「同February 2023 Patch 10」「同November 2022 Patch 12」「同August 2022 Patch 14」「同May 2022 Patch 16」「同February 2022 Patch 15」「同November 2021 Patch 17」にて修正した。「同November 2023 IR」も影響を受けないとしている。

(Security NEXT - 2023/12/08 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

受託運営したセミナーでメールの誤送信が発生 - テレビ愛媛
講師がサポート詐欺被害、個人情報含む私物PCが遠隔操作 - 群馬県
阿波銀で顧客情報の不正持出が判明、金銭着服も - 職員を処分
システムでランサム被害、受注や出荷に遅滞 - 興和江守
IoTゲートウェイ「OpenBlocks」に脆弱性 - 修正版が公開
組込用SSHライブラリ「wolfSSH」に認証回避など深刻な脆弱性
「GitLab」にセキュリティアップデート - 脆弱性7件を解消
米政府、「HPE OneView」「PowerPoint」の脆弱性悪用に注意喚起
データ圧縮ライブラリ「zlib」に含まれる「untgz」に深刻な脆弱性
クレカ決済データ2.5万件超をメールで店舗に誤送信 - 東急モールズD

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.